【shopify】ECサイトのセキュリティ：本体とサードパーティー

ECサイトを制作してセキュリティを考えるときに「本体」と「サードパーティーアプリ」は切り離して考える必要があります。

なんで？

と言う疑問がわいてくると思うので、その辺りをなるべくわかりやすいように解説します！サードパーティーアプリはほぼ間違いなく、ＥＣサイトを運営するなら使います！

なのである程度理解して、その上でリスクと利便性を天秤にかける必要があるシーンもあるので、まずは基礎知識と思って読んでみて下さい。

また、セキュリティについてはその他の記事もご覧ください。

• ECサイトのセキュリティ：守るべき場所
• ECサイトのセキュリティ：プラットフォームのタイプ

本体とサードパーティーとは？

ＥＣサイト制作時に考えるセキュリティ問題で「本体」と「サードパーティー」に関しては切り離して考える必要があります。

本体についてはこちらのブログで詳しく書いているので、参照してください。

今回のテーマはサードパーティー製のアプリになります。

弊社も得意としている「shopify」からの情報漏洩をグーグルで検索すると決まって１つの記事にたどり着きます。

---

Shopify顧客データ流出、第三者アプリが原因で179,873件の情報が漏洩

---

こんな見出しのニュースが見つかるはずです。

そうこの「第三者アプリ」がイコール「サードパーティーアプリ」になります。

つまり「本体」から漏れ出したわけではなくてサードパーティーアプリから情報が漏洩したにすぎません。

ＥＣサイト制作における「本体」とはプラットフォームの事だと思っていただけばよいです。
詳しい事は別ブログを読んでいただけると幸いですが、ＡＳＰやモールを使う場合は「本体」からの情報漏洩と言うリスクはかなり小さいです。

ここ関連リンク

ですが、shopifyのアプリなんでしょ？と言う疑念がわいてくると思います。

なので、まずはアプリとは？と言う所から理解していきましょう。

 

一般的にアプリとは

ECサイト制作時に「本体」の他に「アプリ」やら「プラグイン」やらをインストールして使うことは往々にしてある事です。

この時に入れるアプリの概念は「スマホのアプリ」を思い起こして頂けると良いかと思います。

 

ASPの代表例として「shopify」を「iPhone」だと考えてください。

そうすると、アプリは「Gmail」とか、「Instagram」とか、あと「ウマ娘」とかゲームだったりもするじゃないですか？

あれ全部がサードパーティーアプリです。（Apple純正もありますが）

仮にインストールした「ゲーム」が原因で個人情報漏洩したとしても、iPhoneから情報漏洩した！とは言わないですよね？その「ゲーム」のサーバーから漏洩したことには気が付くかと思います。

その「情報その物」は最初は確かにAppleストア経由で登録した情報にはなりますが、これでAppleを攻める人はあまりいないと思います。

さらに言えば大型ゲームの場合サーバーはAppleではなくて、ゲーム会社が運営してるサーバーが使われている事も、割とよく知られているか思います。

ゲームの場合はよく「運営のサーバーがぁぁぁぁあああ！」とか言われてますもんね。あのサーバー管理してるのがアプリ会社だと言うのはよく考えれば、知ってる話じゃないですか。

まずアプリと言うのはそう言った物で、本体とは切り離した別の物だという事を理解しておいてください。

 

ECサイトでのアプリ

ECサイトを制作をして運営していくと、本体の機能だけではまかなえないので大抵の場合「アプリ」を使うことになります。

その時にインストールするアプリにはデータベースは本体の物を使って、加工したものを出力するだけの「情報を持ち出さないアプリ」もあれば

情報を連動させたり、いったんサーバーに吸い出してから加工して送り返す「情報を共有するアプリ」も両方ともあります。

画像差し込む

特に気を付けないといけないのは、情報を共有するタイプのアプリです。

大抵の場合はアプリ会社が「AWS」や「Azure」などを使ったクラウドサーバー上でアプリを動かすことが多いのですが、そちら側のセキュリティと言うのが「アプリ会社次第」という事になってきます。

本体のセキュリティブログでも書きましたが、セキュリティに関しては資本が物を言う所もあり、大手のアプリの方がある程度セキュリティ性が高い！と言う傾向にはあると思いますが、絶対はありません。

サードパーティーアプリのセキュリティを高める！と言うのは自社には無理なので、ある程度「信じるしかない！」と言う所があるのは事実です。

 

いや、それじゃ怖くて使えないよ

 

と自社でアプリ開発をすると、えらい費用もかかるので何かしらアプリは使うことになるという事は最初から知っていた方が良いかと思います。

 

よく使う例でいうとCRM（顧客管理）系のツールですね。

CRMと言われるとわかりづらいかもしれませんが、「メルマガスタンド」とか言うとある程度想像しやすいかと思います。

メルマガ発行するのに昔から「メルマガスタンド」と言うものがありますが、あれって自社ではない場所に情報管理を委ねますよね？

メルマガ配信するための「メーリングリスト」はメルマガ配信ソフト（大抵はクラウド上のサーバー）に登録するはずです。

その時のセキュリティはやはり自社でやれる事はあまりなく、ある程度メルマガスタンドの会社に依存することになります。

なのでサードパーティーアプリで「顧客情報」を扱う物に関しては実績があったり、信頼性に関してもしっかり吟味する方が良い場合もあります。

 

ASPに限らず、モールなどでもオフィシャルストア的な所からダウンロード出来るアプリはある程度の審査には通過しているはずなので、大丈夫なものが多い！と信じるしかありません。

それでも気にある場合は「高実績」の物を中心に選ばれると良いかと思います。

 

まとめ

サードパーティアプリの使用は運用上とても便利で、売上ＵＰに貢献したり、手元の運用の手間を大幅に削減してくれる物も沢山ありますから、基本的には利用すること自体は避けられないのがＥＣサイト運用になるかと思います。

ですので、むやみに個人情報を扱うアプリを増やしたりせず、計画的に信頼のおけるアプリを選んで使いましょう！

世の中に完璧なセキュリティと言う物は残念ながら存在しません。

その中でどうやってセキュリティと利便性のバランスを取っていくのか。

リスクを許容しろ！とは言えませんが、常に情報に目を光らせて、危険な情報などは察知するための情報感度も非常に大切です。

ハッカーにも「今これが流行ってる」的な流行とかあったりもしますので。

心配でしたらそう言った所をサポートしてくれる会社さんも見つけると良いですよ！